Vulnerabilidad en Das U-Boot (CVE-2019-13106)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
06/08/2019
Última modificación:
03/03/2023
Descripción
Das U-Boot versiones 2016.09 hasta 2019.07-rc4, pueden memorizar en la función memset() muchos datos mientras leen un sistema de archivos ext4 diseñado, lo que resulta en un desbordamiento del búfer de la pila y una posible ejecución de código.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
8.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:denx:u-boot:*:*:*:*:*:*:*:* | 2016.09 (incluyendo) | 2019.04 (incluyendo) |
| cpe:2.3:a:denx:u-boot:2019.07:-:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc4:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00002.html
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00004.html
- https://gist.github.com/deephooloovoo/d91b81a1674b4750e662dfae93804d75
- https://github.com/u-boot/u-boot/commits/master
- https://lists.denx.de/pipermail/u-boot/2019-July/375516.html